Selon blog.kartone.ninja, une analyse de rétro‑ingénierie a mis au jour « P0sT5n1F3r », un module Apache furtif conçu pour intercepter le trafic HTTPS et exfiltrer des données sensibles.
L’artefact décrit est une porte dérobée pour Apache capable de sniffer le trafic HTTPS directement sur le serveur. Son activité était dissimulée via un chiffrement RC4, ce qui l’a rendu indétecté par les plateformes anti‑malwares jusqu’à sa découverte. 🔒🕵️
L’analyse a retrouvé la clé RC4 utilisée, ce qui a permis de révéler un payload ciblé dont l’objectif est le vol de données de cartes bancaires. 💳
Éléments clés:
- Type d’attaque: backdoor serveur (module Apache)
- Produits concernés: Apache HTTP Server (via un module malveillant)
- Technique de furtivité: RC4 pour masquer l’activité
- Impact: exfiltration de données de paiement; évasion des anti‑malwares
IOCs et TTPs:
- IOCs: nom du module malveillant — P0sT5n1F3r; clé RC4 récupérée lors du reverse engineering (valeur non fournie dans l’extrait)
- TTPs: backdoor de module Apache, sniffing HTTPS, chiffrement RC4 pour l’obfuscation, payload de vol de cartes bancaires, évasion des solutions anti‑malware
Il s’agit d’une publication de recherche visant à exposer le fonctionnement d’un module backdoor furtif et la nature de sa charge utile ciblant les données de paiement.
🔗 Source originale : https://blog.kartone.ninja/the-p0st5n1f3r-backdoor/
🖴 Archive : https://web.archive.org/web/20250827092216/https://blog.kartone.ninja/the-p0st5n1f3r-backdoor/